木馬分析出現python語言,360的安全人員不禁感嘆還有這種操作?
幾年前,敲詐者木馬還是一個默默無聞的木馬種類。然而,由於其極強的破壞力和直接且豐厚的財富回報,敲詐者木馬這幾年已經一躍成為曝光率最高的木馬型別——甚至超越了盜號木馬、遠控木馬、網購木馬這傳統三強。與此同時,各種敲詐者木馬也在不斷推陳出新,變著花樣地出現在分析人員的視野中。
去年,360安全團隊就發現了一款使用PHP語言編寫的敲詐者木馬(具體內容參考《用世界上最好的程式語言寫成的敲詐者木馬》)。最近,一款使用Python語言編寫的敲詐者木馬又被發現。面對花樣百出的攻擊,360的安全分析人員不禁感嘆——竟然還有這種操作?
永遠的“我的化學浪漫”
7月27日,360的反勒索申訴平臺接到了兩例反饋,兩案例均為26日中毒,而且副檔名均被修改為“MyChemicalRomance4EVER”。兩位受害人本可逃過一劫,可惜卻都是中毒之後才想起安裝360安全衛士來加強系統安全防護的。
上述副檔名中的“My Chemical Romance”這個名稱,其實是源自一支美國新澤西州的同名朋克樂隊。該樂隊成立於2002年,十一年後的2013年宣告解散。朋克這種充滿了叛逆與不羈的音樂風格向來深受年輕人的喜愛,所以該木馬的作者想來應該也是一個充滿著叛逆性格的年輕人吧?
病毒名字起的很“朋克”,但傳播方式卻頗為老套,無非就是偽裝成一些對廣大網民比較有吸引力的軟體對外發布,誘導大家下載並執行。
比如我們拿來分析的這個樣本,就自稱是一款叫做“VortexVPN”的VPN軟體。除此之外,還有類似於“PornDownload”、“ChaosSet”、“PanDownloader”、“BitSearch”等等,基本都是廣大網友都懂得的各種工具軟體。
通過進一步追溯,發現該木馬傳播早期,可能是來自於一個名為ZeroNet的匿名網路,該網路是一個去中心化的加密網路,顯然作者是對隱藏自身資訊也是做了比較周密的安排。
木馬分析驚現Python語言
言歸正傳,我們來看下木馬本身。和常見勒索木馬一樣,會加密中毒電腦中的所有常見文件檔案,並留下敲詐資訊
而很是與眾不同的是,在分析的時候,我們發現這款木馬竟然是用Python語言編寫了木馬指令碼,然後再打包成一個exe的可執行程式的。
於是我們嘗試使用現有工具對該exe進行反編譯,結果喜人——工具成功的對木馬程式進行了反編譯,其中除了一些Python環境所依賴的庫檔案之外,核心部分就是一個名為“wub_crypted”的pyc檔案。
之後,我們將pyc指令碼恢復為py指令碼檔案,發現指令碼本身的內容也是加密過的。再經過兩次的Base64解碼和一次AES解密,最終我們拿到了木馬核心功能指令碼的內容。
指令碼程式碼分析
有了明文指令碼,功能就顯而易見了。
首先,木馬會判斷自身程序名是否為systern.exe。如果不是,則將自身複製為C:UsersPublicsystern.exe 並執行。
之後,木馬釋放s.bat批處理指令碼,關閉各種資料庫和web 服務及程序。
接下來,就是遍歷所有系統中所有檔案並加密且留下勒索資訊了。當然,為了避開敏感的系統檔案,程式碼有意避開了“C:Documents and Settings”和“C:Windows”兩個目錄。
最終木馬會呼叫系統的wevtutil命令,對系統日誌中的“系統”、“安全”和“應用程式”三部分日誌內容進行清理,並刪除自身,以求不留痕跡。
該木馬的亮點是,在加密的檔案型別列表中,除了大量的文件型別外,還包括有比特幣錢包檔案和一些較重要的資料庫檔案。
而另一個更大的亮點則是——該木馬不同於以往的敲詐者木馬使用不對稱加密演算法,而是採用了AES對稱加密演算法,並且用於加/解密的金鑰則是硬編碼在指令碼中的:“MyChemicalRomance4EVER_tkfy_lMCR”。
用Python指令碼寫了個敲詐者木馬,再打包成 exe程式,再費盡周章用匿名網路發不出去,最終因為使用對稱加密演算法被分分鐘破解……驚不驚喜?意不意外?
老生常談的一些話
1.不要從不明來源下載程式。
2.安裝防毒軟體並開啟監控。
3.不要相信所謂外掛、XX工具、XX 下載器一類的程式宣稱的殺軟誤報論。
這些真的已經算是老生常談了。不過大家放心,這類木馬雖然有些新意,但本質上還是老套的敲詐者木馬,360 對此類木馬可實現無壓力攔截。